信息化觀察網(wǎng)

數(shù)據(jù)是信息化時代重要的生產(chǎn)要素和社會財富。大數(shù)據(jù)被稱作“新型石油”，已成為當(dāng)今世界的基礎(chǔ)性戰(zhàn)略資源。

大數(shù)據(jù)時代，國家之間博弈空間、方式被重新定義，經(jīng)濟社會運行模式受到?jīng)_擊，國家主權(quán)和安全利益面臨新挑戰(zhàn)。大數(shù)據(jù)時代，人們的思維理念需要更新，社會治理架構(gòu)和模式需要改變。誰掌握大數(shù)據(jù)，誰就能在未來競爭中占據(jù)優(yōu)勢、掌握主動。

公安部網(wǎng)絡(luò)安全保衛(wèi)局處長盤冠員

黨中央、國務(wù)院高度重視大數(shù)據(jù)發(fā)展應(yīng)用，做出一系列重大戰(zhàn)略部署。2015年8月，國務(wù)院印發(fā)《促進大數(shù)據(jù)發(fā)展行動綱要》，全面部署大數(shù)據(jù)發(fā)展應(yīng)用；2015年10月，黨的十八屆五中全會審議通過《中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃的建議》，提出“實施國家大數(shù)據(jù)戰(zhàn)略，推進數(shù)據(jù)資源開放共享”；2016年12月， 國務(wù)院印發(fā)《“十三五”國家信息化規(guī)劃》，提出“建立統(tǒng)一開放的大數(shù)據(jù)體系”；2017年10月，黨的十九大報告明確提出要推進大數(shù)據(jù)和實體經(jīng)濟深度融合。2017年12月，中共中央政治局就實施國家大數(shù)據(jù)戰(zhàn)略進行第二次集體學(xué)習(xí)，習(xí)近平總書記強調(diào)“推動實施國家大數(shù)據(jù)戰(zhàn)略，加快建設(shè)數(shù)字中國”；2018年4月，全國網(wǎng)絡(luò)安全和信息化工作會議對包括大數(shù)據(jù)產(chǎn)業(yè)在內(nèi)的信息化發(fā)展戰(zhàn)略進行全面部署。

大數(shù)據(jù)時代，數(shù)據(jù)安全面臨諸多風(fēng)險挑戰(zhàn)。美國臉譜公司數(shù)據(jù)泄露事件中，“劍橋數(shù)據(jù)分析公司”利用臉譜網(wǎng)用戶數(shù)據(jù)，通過對用戶的大數(shù)據(jù)分析，對用戶進行畫像，精準(zhǔn)投放宣傳資料，影響選舉活動。事件表明，如果對大數(shù)據(jù)疏于監(jiān)管，對數(shù)據(jù)安全保護不力，會對國家安全、公共利益和個人隱私帶來危害。未來，大數(shù)據(jù)與人工智能深度融合，將產(chǎn)生不可低估的能量。數(shù)據(jù)本身不產(chǎn)生安全問題，數(shù)據(jù)泄露并被非法利用才帶來安全問題。數(shù)據(jù)安全關(guān)系國家安全、公共安全、財產(chǎn)安全和個人隱私安全。

1.國家基礎(chǔ)和敏感數(shù)據(jù)安全風(fēng)險突出。涉及國家利益和公共安全的大數(shù)據(jù)面臨網(wǎng)絡(luò)安全威脅。有國家背景的網(wǎng)絡(luò)攻擊入侵竊密活躍。境外企業(yè)和機構(gòu)依托產(chǎn)品、技術(shù)、應(yīng)用、服務(wù)等渠道收集我基礎(chǔ)數(shù)據(jù)和敏感信息。重要和敏感數(shù)據(jù)跨境數(shù)據(jù)流動缺乏有效安全監(jiān)管。

2.大數(shù)據(jù)基礎(chǔ)設(shè)施面臨安全威脅。網(wǎng)絡(luò)軟硬件系統(tǒng)安全漏洞時有發(fā)現(xiàn)，大數(shù)據(jù)基礎(chǔ)設(shè)施面臨黑客攻擊破壞的高危風(fēng)險。云服務(wù)、網(wǎng)絡(luò)社交平臺等大數(shù)據(jù)高度集中，風(fēng)險呈現(xiàn)聚合極化效應(yīng)。

3.非法泄露和非法買賣數(shù)據(jù)活動猖厥。近年來，媒體披露曝光的重大數(shù)據(jù)泄露事件越來越多，有的是系統(tǒng)被黑客入侵竊取，有的是人為操作失誤導(dǎo)致，有的是內(nèi)外勾結(jié)盜取。境內(nèi)網(wǎng)絡(luò)大數(shù)據(jù)黑市買賣交易猖厥，有報告稱2017年黑市數(shù)據(jù)交易額估算達500億元人民幣。

4.個人隱私安全面臨風(fēng)險。各種網(wǎng)絡(luò)應(yīng)用濫采濫用個人身份信息、生理特征、地理位置、活動軌跡等，這些數(shù)據(jù)被非法交易用于用戶畫像、推送商業(yè)廣告。消費者從“免費使用”商業(yè)模式中受益，但這種“免費”服務(wù)是有代價的。此外，惡意利用社交平臺技術(shù)和規(guī)則漏洞，收集、挖掘、使用個人信息情況也很突出。

大數(shù)據(jù)時代，各國從立法、政策、監(jiān)管、技術(shù)、合作等方面加強對大數(shù)據(jù)安全保護。立法方面，今年5月25日實施的歐盟《通用數(shù)據(jù)安全保護條例》（ GDPR，共10章91條 ），創(chuàng)設(shè)了大數(shù)據(jù)時代數(shù)據(jù)安全和個人隱私保護的新制度，具有全球性影響。媒體稱，為規(guī)避該法，美國《洛杉磯時報》《紐約每日新聞》等媒體網(wǎng)站拒絕或暫時拒絕歐洲訪客，屏蔽了五億歐洲網(wǎng)民。《今日美國》甚至專門制作了歐洲版本。今年3月美國總統(tǒng)特朗普簽署的《澄清境外數(shù)據(jù)的合法使用法案》（ Cloud法案），賦予美國執(zhí)法機構(gòu)收集美企業(yè)境外存儲數(shù)據(jù)的法律權(quán)力。

保護好大數(shù)據(jù)安全，首先要處理好三個關(guān)系：

一是產(chǎn)業(yè)發(fā)展與政府監(jiān)管的關(guān)系。谷歌前CEO施密特認為，政府要在監(jiān)管和創(chuàng)新之間找到平衡，因為這些規(guī)定往往會使現(xiàn)有的企業(yè)受益。通過政府監(jiān)管，處理好數(shù)據(jù)安全風(fēng)險挑戰(zhàn)，促進大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展。二是數(shù)據(jù)安全與資源共享的關(guān)系。三是公共安全利益與個人信息保護的關(guān)系。“力爭把風(fēng)險化解在源頭”、“不讓經(jīng)濟風(fēng)險演化為社會政治風(fēng)險”

更重要的是，要加快構(gòu)建“四位一體”全鏈條的數(shù)據(jù)安全保護體系。

一、法律政策保護。

（一）立法完善。以《網(wǎng)絡(luò)安全法》為基礎(chǔ)框架，加快制定完善數(shù)據(jù)安全保護相關(guān)配套法規(guī)，構(gòu)建全面系統(tǒng)的數(shù)據(jù)安全保護法律體系。制定《數(shù)據(jù)安全保護法》，明確國家基礎(chǔ)數(shù)據(jù)、公共利益數(shù)據(jù)、個人隱私數(shù)據(jù)等不同數(shù)據(jù)的安全管理制度，明確數(shù)據(jù)主體以及數(shù)據(jù)控制者、處理者、使用者的權(quán)利義務(wù)和法律責(zé)任。明確數(shù)據(jù)收集、存儲、處理、使用、銷毀、交易、跨境等各個環(huán)節(jié)安全保護的法律要求，確保數(shù)據(jù)整個生命周期的安全。

（二）政策跟進。制定出臺數(shù)據(jù)安全保護相關(guān)政策文件。如數(shù)據(jù)安全管理政策，關(guān)鍵敏感數(shù)據(jù)保護政策，數(shù)據(jù)跨境流動安全保護政策，數(shù)據(jù)安全科研和人才培養(yǎng)政策，數(shù)據(jù)安全產(chǎn)業(yè)扶持政策，數(shù)據(jù)安全技術(shù)研發(fā)政策等。

（三）標(biāo)準(zhǔn)指引。通過制定實施相關(guān)國家、行業(yè)技術(shù)標(biāo)準(zhǔn)，推動數(shù)據(jù)安全保護措施的規(guī)范和落實。

二、監(jiān)管執(zhí)法保護。

（一）明確監(jiān)管邊界，完善監(jiān)管機制。各職能部門各負其職，加強監(jiān)督檢查。同時建立協(xié)作配合機制，加強情況問題的溝通，形成監(jiān)管執(zhí)法合力。

（二）創(chuàng)新數(shù)據(jù)安全監(jiān)管方式，不留監(jiān)管空白。在數(shù)據(jù)資源的采集、傳輸、存儲、使用和開放等全生命周期、各個環(huán)節(jié)形成有效監(jiān)管。

（三）嚴(yán)格行政執(zhí)法，依法嚴(yán)打犯罪。依法查處違反數(shù)據(jù)安全保護的各種違法違規(guī)行為。加大打擊黑客犯罪、網(wǎng)絡(luò)詐騙、侵犯公民個人隱私等犯罪的力度。

三、安全技術(shù)保護。

一是保護大數(shù)據(jù)基礎(chǔ)設(shè)施安全。安全防護技術(shù)和安全技術(shù)檢測都要重視。在落實安全技術(shù)防護措施的同時，建立網(wǎng)絡(luò)安全監(jiān)測技術(shù)手段，及時發(fā)現(xiàn)處置外部網(wǎng)絡(luò)攻擊入侵。

二是嚴(yán)防“內(nèi)鬼”。加強授權(quán)用戶訪問使用數(shù)據(jù)的安全技術(shù)審計，防止“內(nèi)鬼”利用工作之便盜賣數(shù)據(jù)。加強日常安全監(jiān)控巡查、監(jiān)督檢查，防止運維人員利用服務(wù)便利竊取數(shù)據(jù)。

三是運用新型數(shù)據(jù)安全保護技術(shù)。重點是安全防范技術(shù)、監(jiān)測預(yù)警技術(shù)、追蹤溯源技術(shù)和數(shù)據(jù)加解密、脫密、備份與恢復(fù)、審計、銷毀、完整性驗證等數(shù)據(jù)安全技術(shù)的研發(fā)及應(yīng)用。

四、社會力量保護。

（一）網(wǎng)絡(luò)企業(yè)和機構(gòu)履行主體防護責(zé)任，守網(wǎng)有責(zé)。

（二）相關(guān)社會組織加強行業(yè)規(guī)范和自律。

（三）網(wǎng)民用戶增強數(shù)據(jù)保護意識，掌握個人信息防護技能，積極積極舉報數(shù)據(jù)違法違規(guī)和犯罪行為。